Security-Panne bei Oracle?

Peinliche Panne beim Datenbankriesen Oracle: Wie Sicherheitsexperten berichten, hat das Unternehmen in seinem Support-System "Metalink" vergangene Woche Code-Beispiele veröffentlicht, mit denen man ein bislang ungepatchtes Sicherheitsloch in seiner Datenbank ausnutzen kann. Betroffen sind die Versionen 9.2.0.0 bis 10.2.0.3, unabhängig vom jeweiligen Betriebssystem. Die Lücke erlaubt es Benutzern mit einfachen Leserechten, über eine eigene, mit speziellen Parametern erzeugten View Daten zu ändern, löschen oder einzufügen.

Die Schwere des Problems wird in einem von Alexander Kornbrust, Geschäftsführer der Red Database Security GmbH, veröffentlichten Advisory als "high risk" eingestuft. Dort findet sich auch eine Beschreibung, wie sich das Problem umgehen lässt, bis ein Patch zur Verfügung steht.

Kornbrust wundert sich in dem Sicherheitshinweis über das Vorgehen des Herstellers. Normalerweise hält sich Oracle mit Informationen über Sicherheitslecks in seinen Produkten sehr zurück. Umso mehr erstaunt, dass die Company nun selbst Exploit-Code veröffentlicht. Nachdem alle Metalink-Kunden darauf Zugriff hatten, könne man "davon ausgehen, dass diese Informationen nun public Knowledge sind", so der Experte.

Oracle hat seinen Fehler anscheinend eingesehen und den Code inzwischen wieder von seinen Support-Seiten entfernt. Eine Sprecherin sagte zudem, die Sicherheitslücke solle im Rahmen des für den 18. April geplanten Critical Patch Update (CPU) beseitigt werden. (Martin Seiler/cvi)